Downup

Downup

Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows XP betroffen ist; jedoch sind auch andere Versionen gefährdet.

Inhaltsverzeichnis

Verbreitungsmethoden

Schematische Darstellung der Verbreitungsmethoden

Ursprünglich hat sich Conficker über die von Microsoft im Bulletin MS08-067[1] beschriebene Sicherheitslücke weiterverbreitet. Es handelt sich dabei um eine sogenannte „Remote code execution vulnerability“ (Sicherheitslücke, durch die von außen eingeschleuster Code ausgeführt werden kann). Damit werden Sicherheitslücken beschrieben, bei denen ein Angreifer durch eine manipulierte Netzwerkmeldung einen Rechner dazu bringen kann, schädlichen Code auszuführen, ohne dass dazu die eigentlich erforderliche Zugriffskontrolle stattfindet.

Darüber hinaus verwendet Conficker allerdings auch Mechanismen, die nicht auf Sicherheitslücken basieren. So werden innerhalb von Netzwerken gezielt Freigaben auf Datei- und Druckdiensten gesucht und benutzt, die von anderen Rechnern ausgelesen werden können.

Auch Wechseldatenträger wie USB-Sticks und externe Festplatten werden zur Weiterverbreitung genutzt, indem gezielt die Autorun-Funktion missbraucht wird.

Neuere Varianten öffnen darüber hinaus auch eine P2P-Verbindung zu anderen infizierten Rechnern und laden so neue Programmteile nach.[2]

Auswirkungen

Um seine eigene Entfernung möglichst zu verhindern, blockiert Conficker die Benutzung von Windows-Diensten wie Windows Update, das Windows-Sicherheitscenter, Windows Defender und das Windows-Systemprotokoll. Durch erfolglose Versuche, sich an passwortgeschützten Dateifreigaben anzumelden, kann es dazu kommen, dass ganze Rechner nicht mehr benutzt werden können, da unter Umständen das entsprechende Benutzerkonto komplett gesperrt wird. Bisher sind keine weiteren schädlichen Aktionen des Wurms bekannt. Allerdings ist Conficker in der Lage, sich mit Servern in Verbindung zu setzen, von denen das Programm schädliche Programmteile nachladen könnte.

Anfang Januar 2009 legte der Wurm ca. 3000 Arbeitsplatzrechner der Kärntner Landesregierung lahm und sorgte dafür, dass Ämter der Kärntner Regierung tagelang offline waren. Zentrale Server der Landesregierung waren nicht betroffen und Amtsgeschäfte konnten somit eingeschränkt fortgeführt werden.

Am 19. Januar 2009 berichtete das Softwaresicherheitsunternehmen F-Secure von über neun Millionen betroffenen Rechnern.[3] Am 22. Januar 2009 berichtete NetMediaEurope (testticker.de), dass rund sieben Prozent aller deutschen PCs vom Conficker-Wurm befallen seien.[4] Kurze Zeit später berichtete spiegel.de am 23. Januar 2009 von womöglich 50 Millionen verseuchten Rechnern.[5] Das seien weit mehr als zuvor angenommen.

Am 23. Januar 2009 schätzte F-Secure die Anzahl der IP-Adressen der infizierten Computer auf weltweit eine Million. Die Verbreitung des Wurmes scheint eingedämmt, seine Desinfektion bleibt eine Herausforderung, ließ die Firma auf ihrem Blog verlauten. Nur ein Prozent der infizierten Computer befinden sich in den USA, während China, Brasilien und Russland zusammen 41 Prozent der Infektionsmeldungen liefern. Mit knapp 16.000 IP-Adressen der infizierten Computer befand sich Deutschland auf dem 16. Platz der internationalen Rangordnung.[6]

Am 5. Februar berichtete F-Secure von einem Anstieg der IP-Adressen auf 1,9 Millionen, aber es wird darauf hingewiesen, dass dies nicht zwingend einen Anstieg der Infektionen beweist, da die Sicherheitsfirma mehr Domains überwacht als früher.[7] Am 27. Februar ist die Anzahl der IP-Adressen, die von ihr aufgezeichnet werden, auf 2,1 bis 2,5 Millionen gestiegen. Allerdings haben sich laut F-Secure-Blog nun mehrere Unternehmen und Organisationen zusammengetan, um gegen den Wurm vorzugehen. So setzte Microsoft am 12. Februar (wie bereits bei Mydoom) einen Betrag von 250.000 US-Dollar für Informationen aus, die zur Identifikation des Conficker-Entwicklers führen.[8]

Am 13. Februar 2009 wurde bekannt, dass bei der Bundeswehr mehrere hundert Rechner von dem Wurm befallen seien.[9] Auch die französische Luftwaffe war davon betroffen. Dort blieben zwei Tage lang die Rechner ausgeschaltet.[10]

In dem am 17. März veröffentlichten Sicherheits-Newsletter berichtet Microsoft über die neue Variante Conficker.D (Microsoft) bzw. W32.Downadup.C (Symantec). Bisherige Varianten erzeugen täglich 250 neue Domainnamen, auf denen sie nach Updates suchen. Der Update-Mechanismus konnte erfolgreich blockiert werden, indem die Registrierung dieser Domains verhindert wurde. Die neue Variante des Wurms erzeugt dagegen ab dem 1. April täglich 50.000 neue Domainnamen, von denen 500 zufällig ausgewählt werden. Eine vorherige Registrierung so vieler Domains täglich ist nicht möglich. Die neue Variante soll außerdem System-Tools und Antiviren-Programme ausschalten können.[11][12]

Am 7. April 2009 bemerkte das Sicherheitsunternehmen Trend Micro eine erhöhte P2P-Aktivität von Conficker.C, womit der Wurm sich selbst in die Conficker.E-Variante wandelt. Damit versucht er nun verstärkt, seine Spuren zu verwischen. So werden nun auch Seiten blockiert, die Programme anbieten, um den Wurm zu entfernen. Außerdem tritt er nun unter einem zufälligem Dateinamen auf und löscht alle seine Spuren auf dem Wirts-PC. Diese Variante scheint sich aber zum 3. Mai 2009 selbst zu deaktivieren.[13] Am 9. April wurde bekannt, dass Conficker.C SpywareProtect2009 installiert, eine Scareware, die dem Anwender eine scheinbare Infektion vorspielt und gegen eine Geldzahlung scheinbar entfernt. Der Download geschieht von einem Server aus der Ukraine aus.[14][15]

Verbindung zu Waledac

Neuere Beobachtungen zeigten, dass Conficker unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, und diesen herunterlud. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.[16]

Beseitigung

Zur Beseitigung von Conficker können Werkzeuge verwendet werden, wie sie bereitgestellt werden von der Universität Bonn,[17] von Microsoft[18], Symantec[19], F-Secure[20] und BitDefender[21].

Das Tool Panda USB Vaccine[22] kann auf FAT-formatierten Datenträgern eine autorun.inf erstellen, die sich weder lesen, bearbeiten noch löschen lässt und somit wirkungsvoll verhindern, dass Conficker diese erstellen kann.

Einzelnachweise

  1. Microsoft Security Bulletin MS08-067 – Critical. Microsoft.com (23. Oktober 2008).
  2. New Downad/Conficker variant spreading over P2P (Trend Micro)
  3. Heise-Online, 19. Januar 2009: F-Secure: Jetzt neun Millionen Windows-PCs mit Conficker-Wurm befallen
  4. [1]
  5. spiegel.de/netzwelt
  6. f-secure.com: Where is Downadup?
  7. Infektionen steigen weiter F-Secure.com
  8. Downadup, Good News / Bad News F-Secure.com
  9. Spiegel-Online: „Bundeswehr kämpft gegen Viren-Befall“
  10. ORF-Meldung: „Briefchen für Piloten“
  11. Microsoft Sicherheits-Newsletter: Conficker-Wurm rüstet massiv auf (17. März 2009)
  12. Heise Online: Conficker-Wurm lädt nach - vielleicht (30. März 2009)
  13. DOWNAD/Conficker Watch: New Variant in The Mix? (Trend Micro)
  14. Heise-Online: Deckt der Conficker-Wurm jetzt seine Karten auf?, Meldung vom 12. April 2009
  15. viruslist.com: The neverending story, 9. April 2009
  16. http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden/
  17. Werkzeuge bei der Uni Bonn.
  18. Download des Removal Tools von Microsoft. Sendet anonymisierte Daten über Virenfunde an Microsoft
  19. Symantec.com W32.Downadup Removal Tool
  20. F-Secure.com ISTP and F-Downadup Removal Tool
  21. Single PC Removal Tool und Network Removal Tool
  22. „Panda USB Vaccine“

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем написать курсовую

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Downup — …   Википедия

  • Subaru Shibutani — Infobox Musical artist Img size = 150 | Name = Shibutani Subaru 渋谷すばる Landscape = Background = group or band Birth name = Shibutani Subaru Alias = Shibuyan, Baru, Babu, Occhan, Chichai ossan ( little old man ) Born = birth date and age|1981|09|22 …   Wikipedia

  • Bot-Netz — Ablauf der Entstehung und Verwendung von Botnetzen Ein Botnet oder Botnetz ist eine Gruppe von Software Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber …   Deutsch Wikipedia

  • Botnet — Ablauf der Entstehung und Verwendung von Botnetzen: 1. Infizierung ungeschützter Computer, 2. Eingliederung in das Botnet, 3. Botnetbetreiber verkauft Dienste des Botnets, 4./5. Ausnutzung des Botsnets, etwa für den Versand von Spam Ein Botnet… …   Deutsch Wikipedia

  • Botnets — Ablauf der Entstehung und Verwendung von Botnetzen Ein Botnet oder Botnetz ist eine Gruppe von Software Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber …   Deutsch Wikipedia

  • Botnetz — Ablauf der Entstehung und Verwendung von Botnetzen Ein Botnet oder Botnetz ist eine Gruppe von Software Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber …   Deutsch Wikipedia

  • Botnetze — Ablauf der Entstehung und Verwendung von Botnetzen Ein Botnet oder Botnetz ist eine Gruppe von Software Bots. Die Bots laufen auf vernetzten Rechnern, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen. Betreiber …   Deutsch Wikipedia

  • Conf*cker — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Conficker — (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im November 2008 registriert wurde. [1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass… …   Deutsch Wikipedia

  • Cyber War — Zweiter Weltkrieg: Frankreich. Nachrichtenhelferinnen an Vermittlungspult/Telefonanlage: PK KBK Lw zbV (Deutsche Wehrmacht; Bild: Bundesarchiv) Cyberwar ist ein Kofferwort aus den englischen Wörtern …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”